FacebookとGoogeは、先週、社内専用の証明書を不正に使用したことを突き止めたTechCrunchの2回にわたる調査により、Appleと共に煮え湯に放り込まれることとなった。FacebookとGoogleは証明書を取り消され、終日のアクセス停止措置に追い込まれた。
いったい何が起きたのか、混乱されている方もおいででしょう。ここに、私たちが知っておくべき事件のすべてを解説しよう。
そもそもの始まりと問題の発生
先週の月曜日(日本語版は1月31日)、我々は、企業内の従業員専用であることを条件に、AppleのApp Storeを介さず配布が許されるアプリのための企業向け証明書を、Facebookが悪用していたことを突き止めた。Facebookはその証明書を使って社外にアプリを配布していたのだ。これはAppleの規約に違反する。
このアプリは「Research」という名で知られ、デバイスに出入りするすべてのデータのアクセス権を要求するという、前代未聞のアプリだ。これには、ユーザーがもっとも知られたくない個人的なネットワークデータも含まれる。このアプリをインストールすると、Facebookからユーザー(13歳から19歳の若者を含む)に月20ドルの報酬が支払われる。しかし、実際にどのデータが吸い取られていたのか、またその目的は明らかにされていない。
このアプリは、ユーザーのデータをあまりにも集めすぎるという理由で、昨年、AppleのApp Storeでの配布を実質的に禁止されたアプリの体裁を変えただけのものだと判明した。
App Storeから排除し、二度と開けないように無効にしたアプリを、企業向けとして特別に発行された証明書を悪用し再び配布しているFacebookに、Appleは激怒した。しかしFacebookは、他の従業員専用アプリを使用するために、Appleが証明書を再発行するまで事実上オフラインで、その同じ証明書を使い続けている。
そしてGoogleも、ほぼ同じことをScreenwiseアプリで行なっていたことがわかった。これもまた、Appleによって配布が禁止された。
企業向け証明書の何が問題で、それは何をするものなのか?
Apple用のアプリを開発するときは、その規約に従う必要があり、Appleは、開発者からの明示的な同意を得ることになっている。
規約の主眼は、アプリがAppleの入念な審査を経て安全であると確認された証拠として、必ずApp Storeで配布されるようにすることにある。ただし、企業内アプリの開発に関しては例外を設けている。社内目的により従業員のみが使用するアプリの開発は、その限りではない。問題のアプリは、FacebookとGoogleが企業内アプリの開発用として登録し、Appleの開発規約に同意している。
Appleが発行する企業向け証明書は、内部で開発したアプリの配布を許可している。これには、一般に配布するアプリをテストの目的で社内配布することも含まれる。しかし、この証明書では、社外の一般消費者に使わせることは許可されていない。一般のユーザーはApp Storeからダウンローロする決まりになっているからだ。
ルートアクセス権限とな何か、なぜルートアクセスがそんなに問題なのか?
FacebookのResearchもGoogleのScreenwiseも、AppleのApp Stroe以外の場所から配布されていたので、ユーザーは自分の手でインストールする必要があった。これを「サイドローディング」と言う。ユーザーは、煩雑な手順を踏んでアプリをダウンロードし、FacebookでもGoogleでも、企業内開発者のコード署名証明書を開いて信用する旨を伝えて、初めてアプリを実行できる。
どちらの場合も、アプリをインストールした後、さらにもうひとつの設定手順が要求される。いわゆるVPNプロファイルだ。ユーザーのデバイスから流れ出るすべてのデータを、専用のトンネルを使って、どちらのアプリをインストールしたかによってFacebookまたはGoogleに送られることを許可する手続きだ。
ここで、FacebookとGoogleとの違いが現れる。
Googleのアプリは、収集したデータを調査目的でGoogleに転送するが、暗号化されたデータにはアクセスできない。たとえば、HTTPSで保護されたすべてのネットワーク通信でのコンテンツだ。App Storeで配布されているほとんどのアプリもインターネットのウェブサイトも、これによって保護されている。
ところがFacebookは、もっと深く手を入れてくる。スマートフォンの「ルート」レベルのアクセスの自由を許可するための、もう一段階の手続きを要求してくるのだ。Facebook Researchのルートアクセス権限を許可すれば、スマートフォンから発せられる暗号化されたデータもすべてFacebookに開示されることになる。いわゆる「中間者攻撃」だ。これによりFacebookは、私たちのメッセージ、メール、その他スマートフォンから発せられる細かいデータを選り分けることが可能になる。ただし、証明書ピンニング(自分のもの以外の証明書を拒否する)を使用したアプリだけは守られる。Appleの「メッセージ」、Signal、そして終端間の暗号化ソリューションなどがこれに該当する。
Facebook Researchアプリはルート証明書アクセスを求めてくる。これにより、Facebookはスマートフォンから発信されるデータをひとつ残らず回収できる。
Googleのアプリは暗号化された通信を覗くことはできないかも知れないが、それでも規約を守っていないため、単独に所有していた企業向け開発コード署名証明書は無効にされた。
FacebookはiOSのどのデータにアクセスしていたのか?
それを確かめるのは難しいが、Googleよりも多くのデータにアクセスしていたことは確かだ。
Facebookでは、そのアプリは「人々がモバイルデバイスをどのように使っているかを理解する」ことを助けるものと話していた。実際、ルートレベルでは、スマートフォンから発信されるあらゆるデータにアクセスできたはずだ。
我々の記事に協力してくれたセキュリティー専門家のWill Strafachは、こう話している。「もしFacebookが、ユーザーに要求した証明書の効力で最大レベルのアクセスを可能にした場合、次のようなデータを継続的に収集できるようになります。ソーシャルメディア・アプリでのプライベートなメッセージ、インスタントメッセージ・アプリでのチャット(互いにやりとりした写真や動画も含まれる)、電子メール、ウェブ検索、ウェブ閲覧行動、位置情報を追跡するアプリがいずれかでもインストールしてあれば、そこからリアルタイムの位置情報もわかります」
注意して欲しいのは、ここで話しているのは「脱獄」によるスマートフォンのルートアクセスなどとは違う。ネットワーク通信のルートアクセスだ。
これらが一般の市場調査と技術的に異なる点は何か?
公平を期して言うなら、市場調査アプリを使っているのはFacebookやGoogleだけではない。NielsenやcomScoreといった企業も同様の調査を行なっている。しかし、VPNをインストールさせたり、ネットワークのルートアクセスの許可を求めるような企業はない。
いずれにせよ、Facebookはすでに私たちのデータをたんまり集めている。Googleもしかり。これらの企業が、他の人たちとのやりとりに関するデータだけを知りたいだけであったとしても、誰と話しているのか、何を話しているかを集中的に聞き出そうと思えばできる。しかし、いくつものセキュリティー上の問題や個人情報漏洩などの事件を起こして爆発的なスキャンダルとなったにも関わらず、去年はその対処にぜんぜん力を入れてこなかったFacebookにとっては、大きな問題ではないのかも知れない。
スマートフォンの持ち主が話す相手のデータも回収されるのか?
FacebookもGoogleも可能だ。Googleの場合、相手のデータも含め、暗号化されていないものは回収できたはずだ。Facebookの場合はさらに強力だ。他の人と交わしたあらゆるデータがFacebookのアプリによって回収された可能性がある。
どれくらいの人が影響を受けたのか?
はっきりとはわからない。GoogleもFacebookも、ユーザーの数については明らかにしていないからだ。両方で数千人程度だろうと思われる。アプリの停止の影響を受けた従業員は、Facebookで3万5000人以上、Googleで9万4000人以上だ。
Appleが証明書を無効にしたとき、FacebookとGoogleの社内用アプリが使えなくなったのはなぜか?
Appleのデバイスは、誰が持っていようとAppleがコントロールできるようになっている。
Appleは、Facebookのルート証明書には手が出せないが、Appleが発行した企業向け証明書は操作が利く。Facebookの活動が露呈した後にAppleはこう言っている。「企業向け証明書を使って開発されたアプリを消費者に配布すれば、例外なく証明書は無効になります。私たちのユーザーとそのデータを守るために、私たちはそれを履行しました」。つまり、Facebookの企業向け証明書に基づくあらゆるアプリ(社内で使用していたものも含め)が、ロードできなくなるということだ。これは、Facebookの公開前のビルド、開発中のInetagramやWhatsAppに止まらない。同社の旅行アプリや協働アプリも使えなくなったと報告されている。Googleの場合は、仕出しやランチのメニューアプリもダウンしたという。
Facebookの社内アプリは、およそ1日ダウンしていた。Googleの社内アプリが止まっていたのは数時間だ。しかし、FacebookもGoogleも、一般向けのサービスに影響はなかった。
この件を通して人々はAppleをどう見ているか?
現在、FacebookとGoogleを大歓迎している人はいないようだが、Appleもあまり良くは思われていない。Appleは、ハードウエアを販売しても、ユーザーの個人情報を集めたり、それを広告に利用したりはしない。それはFacebookやGoogleと違うところだ。しかし、Apple製品を使う消費者や企業に対するAppleの権力の大きさを不快に思う人たちがいる。
FacebookとGoogleの企業向け証明書の失効と、それによるアプリの機能停止は、Apple内部にも悪影響が伝搬した。
アメリカでは合法なのか? ヨーロッパのGDPRではどうなのか?
少なくともユーザーの同意を得ているので、アメリカ国内では合法だと、Facebookは言っている。さらに、13歳から19歳のユーザーは保護者の同意が必要だと同社は主張しているが、それは簡単に偽装できるし、検証もされていない。しかも、実際にどれだけの個人情報が吸い取られるのかを、同意した子どもたちが完全に理解しているかを確かめる方法がないことも、まったくもって明らかだ。
これは、規制上の頭の痛い問題に発展しかねない。「ヨーロッパの子どもたちがFacebookの調査に参加したとすると、ヨーロッパの一般データ保護規制(GDPR)から、また別の猛攻撃を受けることになる。さらに、その地区のプライバシー制度に定められた『プライバシーバイデザイン』の条件にそぐわず、受け入れられないと地元当局が判断すれば、多額の罰金が課せられる」とTechCrunchのNatasha Lomasは書いている。
証明書の不正利用者は他にいないか?
この問題の当事者はFacebookとGoogleだけだなどと思ってはいけない。規約に違反している企業がたくさんあることが判明している。
ソーシャルメディアで見受けられるそうした企業には、ベータプログラムに企業向け証明書を使っているSonos、同じことをしている金融アプリのBinance、契約者の車両のためのアプリに利用しているDoorDashなどがある。これらの企業の企業向け証明書もAppleが無効にするかどうかは定かではない。
次はどうなる?
誰でも想像できることだが、こうした問題が今すぐ解決するとは思えない。
Facebookはヨーロッパでだけでなく、家庭でも反発を食らうだろう。Mark WarnerとRichard Blumenthalの2人の米国上院議員は、「十代の若者を盗聴した」として、すでにFacebook糾弾の呼びかけを行っている。Blumenthalの主張が通れば、米連邦取引委員会も調査を始めるだろう。
[原文へ]
(翻訳:金井哲夫)
